Hvis du bruger node-mysql, så gør det som dokumenterne siger:
connection.query(
'SELECT * FROM table WHERE id=? LIMIT ?, 5',[ user_id, start ],
function (err, results) {
}
);
Dokumenterne har også kode til korrekt escape af strenge, men brugen af arrayet i forespørgselskaldet udfører automatisk escapen for dig.
https://github.com/felixge/node-mysql